CVE-2021-24405

Plugin Easy Cookies Policy para WordPress, versões 1.6.2 e anteriores

A vulnerabilidade permite que qualquer usuário autenticado, como assinantes, altere as configurações devido à falta de verificações de permissão e CSRF. Isso também pode ser explorado por meio de CSRF caso o registro de usuários não seja possível. Além disso, a configuração do banner de cookies não é devidamente sanitizada ou validada antes de ser exibida em todas as páginas do front-end e back-end, levando a um problema de Stored Cross-Site Scripting.

Para as versões 1.6.2 e anteriores, atualize para uma versão que inclua as verificações de capacidade e CSRF necessárias para salvar configurações e garanta a sanitização e validação adequadas da configuração do banner de cookies para evitar Stored Cross-Site Scripting.

Como solução alternativa temporária, considere restringir o acesso à página de configurações para impedir alterações não autorizadas até que um patch esteja disponível.

Evite usar a configuração vulnerável do banner de cookies nos endpoints da API afetados até que o problema seja resolvido.